Innovatie in een veranderd risicolandschap

Maat: px

Weergave met pagina beginnen:

Download "Innovatie in een veranderd risicolandschap"

Geert Jelle Maes
5 jaren geleden
Aantal bezoeken:

1 Innovatie in een veranderd risicolandschap Kees Hintzbergen, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde deelnemers gepubliceerd worden

2 Onderwerpen Over mij Over de IBD Over de BIG/BIO De aspecten van informatiebeveiliging Heel veel vertrouwelijkheid (en een beetje van de rest) Focus Verhogen Digitale Weerbaarheid (VDW)

3 Kees Hintzbergen, wie is het nou eigenlijk?

4 Adviseur informatiebeveiliging IBD Medewerker CERT IBD Ondersteunen van gemeenten bij incidenten (op afstand) Advies over allerhande informatiebeveiligings vraagstukken Kennis delen Schrijven van aanwijzingen, best practises en adviezen Schrijven van normen (BIG, BIR2017, BIO) Beïnvloeden Presenteren Onderzoek verhogen digitale weerbaarheid

5 Doelen IBD

6 De IBDdienstverlening strekt verder

De IBD-dienstverlening strekt verder Helpdesk van de IBD De IBD heeft een helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen.

7 De IBD-dienstverlening strekt verder Helpdesk van de IBD De IBD heeft een helpdesk, waar gemeenten al hun vragen over informatiebeveiliging kunnen stellen. Website en Community Een website en community waar gemeenten kennis en ervaring op informatiebeveiligingsvlak kunnen uitwisselen. Leveranciersonafhankelijk De IBD is leveranciersonafhankelijk en ondersteunt een level playing field voor leveranciers actief in het gemeentelijk domein.

8 Beschikbare kennis, producten en diensten van de IBD Incidentdetectie en -coördinatie I.s.m het Nationaal Cyber Security Centrum (NCSC)- NRN I.s.m. leveranciers Bewustwording Regiobijeenkomsten Presentaties, workshops, congressen Projecten Baseline Informatiebeveiliging Overheid (BIO) ICT-Beveiligingsassessment DigiD Verlagen van de audit-last (project ENSIA) Ondersteunen projecten binnen VNG Realisatie

9 De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en inmiddels BIO..

10 BIG/BIO: Kwaliteitsaspecten Beschikbaarheid De waarborg dat vanuit hun functie geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen (informatiesystemen). Integriteit Het waarborgen van de juistheid en volledigheid en tijdigheid van informatie en de verwerking ervan. Als de tijdigheid van gegevens bepaald wordt door omstandigheden buiten het systeem, kan deze vanzelfsprekend niet als integriteitseis voor het systeem gesteld worden. Vertrouwelijkheid Het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd.

11 De verdeling (BIO) Beschikbaarheid 29 Integriteit 5 Vertrouwelijkheid 71

12 Wat gaat er dan allemaal over beschikbaarheid? Bedreigingen van buitenaf (naar binnen) Verstoringen in nutsvoorzieningen Onderhoud van apparatuur Wijzigingsbeheer Back-up Incident management Continuïteit

13 Verschil BIG <> BIO BIG > maatregelmanagement (door de CISO) BIO > Risicomanagement (door de lijnmanager)

14 Het belang van Telekwetsbaarheid De gemiddelde organisatie neemt steeds vaker diensten af in de CLOUD of werkt ergens samen en dat betekent dat de beschikbaarheid van systemen een aspect erbij krijgen die als vanzelfsprekend beschouwd wordt: De verregaande afhankelijkheid van telecommunciatie voorzieningen om bedrijfsprocessen te laten werken. Maar

15 Wat kun je doen aan Telekwetsbaarheid? Voor ons is Telekwetsbaarheid niet alleen telecommunicatie, maar vooral ook afstand. Afstand in die zin dat telekwetsbaarheden buiten onze invloedsfeer liggen, we kunnen er niet veel aan doen, maar wel kunnen wel anticiperen.

16 Risicomanagement Informatiebeveiliging = risicomanagement Informatiebeveiliging gaat verder dan ICT alleen. Beveiliging van gegevens en systemen is een zaak van uw hele organisatie. Het gaat om de mensen in uw organisatie, om de manier waarop zij met risico s omgaan. Het gaat om het inrichten van processen en procedures, om kennis en bewustzijn. En in de laatste plaats pas om techniek!

17 Focus De afgelopen jaren hebben we gemeenten ondersteund met het implementeren van informatiebeveiliging en daarbij hebben we de focus op wat te doen vooral lokaal laten plaatsvinden. We hebben ontdekt dat zonder focus organisaties niet perse de juiste dingen doen, het is namelijk best moeilijk om in het spanningsveld van alle dag te ontdekken wat vooral slim is om te doen (80/20).

18 Programma VDW Om focus aan te brengen hebben wij van de IBD gekeken naar wat er al is, en daarbij kwamen we uiteindelijk terecht bij de SANS en de door hun bedachte CIScontrols. Wat zijn CIScontrols?

19 CIScontrols Follow our prioritized set of actions to protect your organization and data from known cyber attack vectors. Van deze CIScontrols hebben we geleerd dat focus aanbrengen bescherming biedt tegen allerhande bekende bedreigingen op basis van jarenlange analyses.

20 De eerste vijf controls Incidentmanagementproces Changemanagementproces Patchmanagementproces Configuratiemanagementproces Technische maatregelen

21 Waarom zijn deze eerste vijf controls belangrijk? Als je niet weet wat je hebt, kun je het ook niet adequaat beschermen Software en hardware, maar ook telecommunicatievoorzieningen, alle bevatten ze kwetsbaarheden Maar alles voorkomen kan ook niet en daarom > incidentmanagement

22 Proces eigenaar Een proceseigenaar is verantwoordelijk voor dat wat zijn bedrijfsproces moet opleveren of bijdragen om de bedrijfsdoelstellingen te realiseren

23 BIO Aanpak en Telekwetsbaarheid Doordat de lijnmanager nadrukkelijk aan zet is en.. De BIO een standaard analyse methode bedacht heeft en.. De lijnmanager daardoor moet gaan nadenken.. (aan risicomanagement gaan doen) en.. De IBD focus aanbrengt met VDW

24 BIO Aanpak en Telekwetsbaarheid Doordat de lijnmanager nadrukkelijk aan zet is en.. De BIO een standaard analyse methode bedacht heeft en.. De lijnmanager daardoor moet gaan nadenken.. (aan risicomanagement gaan doen) en.. De IBD focus aanbrengt met VDW..

25 De BIO en VDW dragen optimaal bij waar het programma telekwetsbaarheid voor staat. De innovatieve aanpak van de BIO met de focus van VDW laat managers de juiste dingen doen en voorbereid zijn als het ondenkbare dan toch gebeurd.

26 Vragen?

Informatie over de IBD en allerhande ondersteunde documenten zijn te vinden op onze website: www.

nl Op de IBD-community kan onderlinge dialoog en kennisuitwisseling over informatiebeveiliging

27 Informatie over de IBD en allerhande ondersteunde documenten zijn te vinden op onze website: Op de IBD-community kan onderlinge dialoog en kennisuitwisseling over informatiebeveiliging plaatsvinden: CERT: (9:00 17:00 ma vr) CERT 24x7: Piketnummer (instructies via voic ) / incident@ibdgemeenten.nl

Vergelijkbare documenten

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale